Код атаки для критических поверхностей ошибок Microsoft

Через несколько часов после публикации Microsoft критической ошибки Windows, появился новый код атаки, который использует недостатки.

Для того, чтобы опубликовать свой эксплойт, разработчики средства тестирования безопасности Immunity потребовали два часа, после того как Microsoft выпустила исправление для выпуска в четверг утром. Программное обеспечение, разработанное Immunity, предоставляется только платящим клиентам, а это означает, что не все имеют доступ к новой атаке, но эксперты по безопасности ожидают, что некоторая версия кода начнет циркулировать в публике очень скоро.

Microsoft сделала необычный шаг вытащить аварийный патч для недостатка в четверг, через две недели после уведомления о небольшом количестве целенаправленных атак, которые использовали ошибку.

Уязвимость не была общеизвестной до четверга; однако, выпустив патч, Microsoft предоставила хакерам и исследователям безопасности достаточную информацию для разработки собственного кода атаки.

Недостаток лежит в службе Windows Server, используемой для подключения различных сетевых ресурсов, таких как файлы и серверы печати по сети, Microsoft сообщила, что, отправив вредоносные сообщения на компьютер под управлением Windows Server, злоумышленник может взять под свой контроль компьютер.

По-видимому, для написания этого типа кода атаки не требуется много усилий.

«Это очень эксплуатируется », - сказал Исследователь по безопасности Immunity Bas Alberts. «Это очень контролируемое переполнение стека».

Ошибки переполнения стека вызываются, когда ошибка программирования позволяет злоумышленнику написать команду на части памяти компьютера, которые обычно бывают вне пределов, а затем заставить эту команду запускать компьютер жертвы.

Microsoft потратила миллионы долларов, пытаясь устранить этот недостаток из своих продуктов в последние годы. И один из архитекторов программы тестирования безопасности Microsoft откровенно оценил ситуацию в четверг, заявив, что инструменты тестирования «пушистое» должны были обнаружить проблему раньше. «Наши тесты Fuzz не поймали это, и они должны были», - написал менеджер программ безопасности Майкл Ховард в блоге. «Итак, мы вернемся к нашим алгоритмам и библиотекам, чтобы их соответствующим образом обновить. Для чего мы стоим, мы постоянно обновляем наши эвристики и правила тестирования fuzz, поэтому эта ошибка не уникальна».

Хотя Microsoft предупредила, что этот недостаток может быть использован для создания компьютерного червя, Альбертс сказал, что вряд ли такой червь, если он будет создан, будет распространяться очень далеко. Это связано с тем, что большинство сетей блокируют этот тип атаки на брандмауэре.

«Я вижу, что это проблема во внутренних сетях, но это очень реальная и эксплуатируемая ошибка», - сказал он.